none
Curioso problema de permisos en Windows Server 2012 R2 RRS feed

  • Pregunta

  • Buenas noches.

    Os presento un problema, curioso cuanto menos, que me ha surgido.

    Imaginad un controlador de dominio Windows 2012 R2 Std.

    Inicio sesión en ese controlador de dominio con el usuario "miguelgil", que es miembro del grupo "Admins. del dominio" y quiero hacer una carpeta a la que sólo puedan acceder los usuarios pertenecientes al grupo "Admins. del dominio"

    Así pues:

    • Creo la carpeta en C:\
    • Modifico sus propiedades->seguridad, avanzadas
    • Deshabilito la herencia (copiando permisos)
    • Añado el grupo "Admins. del dominio" con Control total (Esta carpeta, subcarpetas y archivos)
    • Elimino de la lista "Usuarios" y "miguelgil" porque como ya he dicho, el usuario "miguelgil" es miembro de "Admins. del dominio" y no quiero que ningún usuario no administrador del dominio pueda entrar.
    • Cambio el propietario por "Admins. del dominio"
    • Acepto, acepto
    • Ya no puedo acceder a la carpeta

    ¿Alquien me puede dar una explicación?

    En Windows 2003 y 2008 no hay problema.

    Saludos y gracias.

    jueves, 15 de septiembre de 2016 20:33

Respuestas

  • Hola de nuevo Guillermo.

    Ya tengo la solución, por lo visto no soy el primero y seguramente no seré el último.

    Además de desactivar el UAC, hay que especificar en el registro que no se ejecute.

    La respuesta la encontré en este post:

    https://social.technet.microsoft.com/wiki/contents/articles/13953.windows-server-2012-deactivating-uac.aspx

    Saludos y muchas gracias por tu ayuda.

    jueves, 15 de septiembre de 2016 22:20

Todas las respuestas

  • Hola Miguel ¡Muy buena pregunta! Lo daba por hecho igual que tú, pero cuando lo probé me sucede exactamente lo mismo ¿qué pasa acá???

    Pensando, probando, pensando, probando, ... hummmmm ¿a ver? ¡Ah! ya veo por dónde viene

    Es el UAC

    Te comento la prueba que hice, creé un usuario de prueba con las mismas características, e hice exactamente los pasos que comentas

    Al no poder entrar, creí que venía por grupos, probé con WHOAMI, y no había diferencia en la membresía entre la cuenta predefinida Administrator, y el usuario de prueba.

    Aclaro que lo hice sobre un servidor en Grupo de Trabajo, por lo que no tenía "Domain Admins" y lo hice perteneciendo a "Administrators"

    Revisé los permisos avanzados, nada raro tenía todo para poder entrar a la carpeta. Revisé por el lado del "Owner" y no debería tener problema ya que el propio usuario de prueba era el propietario

    Investigué por el lado de "Effective Access" y me daba que tenía "Full Control"

    Al tratar de entrar me ofreció la posibilidad de cambiar los permisos para poder acceder: agrega permiso de "Full control" al usuario

    ¿¿¿¿Entonces????

    La línea de comando siempre ayuda más que la interfaz gráfica ;)

    Abriendo un CMD "normal" ---> Acceso denegado

    Abriendo un CMD "como Administrador" ---> ¡Adentro! :)

     

    Conclusión: Al ejecutar Windows Exlorer, con una cuenta de administrador no lo hace "como administrador", sino sólo con la credencial reducida

     

    Agrego algo, no es aconsejable darle permisos "Domain Admins", siempre conviene a los grupos locales de Dominio, en este caso "Administrators"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 15 de septiembre de 2016 21:34
    Moderador
  • Hola;

    A ver, no se se me ocurre lo siguiente:

    Clic secundario en la carpeta y Properties, nos dirigimos a la pestaña Sharing y clic en Share... verificamos que los usuarios o grupos estén agregados, ahora nos vamos a Advanced Sharing... clic en Permissions y vemos el grupo que se encuentre Everyone tanto para los permisos Change y Read.

    Pruebas y me comentas que tal :)


    Celso Javier Guzmán Díaz
    Blog Tecnico: https://elcegu.wordpress.com

    jueves, 15 de septiembre de 2016 21:38
  • Hola Guillermo, muchas gracias por tu respuesta.

    Efectivamente, yo también pensé que era problema del UAC y con tu comprobación queda demostrado, pero si lo desactivo, no obtengo ninguna mejora.

    Saludos y gracias de nuevo.

    jueves, 15 de septiembre de 2016 21:47
  • Hola Celso, estamos con los permisos de seguridad (NTFS), todo con acceso local, no está compartida

    Me intrigó realmente, no había pensando en el UAC

    :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 15 de septiembre de 2016 21:54
    Moderador
  • Hola Celso, gracias por tu respuesta.

    El problema aparece al acceder a dicha carpeta de forma local. Si la compartimos y accedemos a ella desde cualquier otro equipo, no hay problemas (este hecho me sugirió que fuese algo del UAC, tal como me confirma Guillermo Delprato).

    Lo que me preocupa es que si tengo un servidor del que he de hacer copias de seguridad con un software de terceros, al que he de proporcionar unas credenciales concretas para ejecutarse, y esas credenciales pertenecen a Admins. del dominio. Si tengo una carpeta que solo los admins. del dominio pueden acceder, pues dicho software no podrá hacerlo.

    Saludos.

    jueves, 15 de septiembre de 2016 21:54
  • Los usuarios que tienen los derechos de Backup y Restore, como "Administrators" y "Backup Operators" justamente permiten hacer el "backup" de datos sobre lo que no tienen permiso de lectura, y en el "restore" escribir donde no tienen permiso

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 15 de septiembre de 2016 22:11
    Moderador
  • Hola de nuevo Guillermo.

    Ya tengo la solución, por lo visto no soy el primero y seguramente no seré el último.

    Además de desactivar el UAC, hay que especificar en el registro que no se ejecute.

    La respuesta la encontré en este post:

    https://social.technet.microsoft.com/wiki/contents/articles/13953.windows-server-2012-deactivating-uac.aspx

    Saludos y muchas gracias por tu ayuda.

    jueves, 15 de septiembre de 2016 22:20
  • Los usuarios que tienen los derechos de Backup y Restore, como "Administrators" y "Backup Operators" justamente permiten hacer el "backup" de datos sobre lo que no tienen permiso de lectura, y en el "restore" escribir donde no tienen permiso

     


    Guillermo Delprato
    Buenos Aires, Argentina

    Totalmente de acuerdo, Guillermo.
    jueves, 15 de septiembre de 2016 22:23
  • Hola de nuevo Guillermo.

    Ya tengo la solución, por lo visto no soy el primero y seguramente no seré el último.

    Además de desactivar el UAC, hay que especificar en el registro que no se ejecute.

    La respuesta la encontré en este post:

    https://social.technet.microsoft.com/wiki/contents/articles/13953.windows-server-2012-deactivating-uac.aspx

    Saludos y muchas gracias por tu ayuda.

    Siempre aprendemos algo nuevo, gracias :)

    Celso Javier Guzmán Díaz
    Blog Tecnico: https://elcegu.wordpress.com

    jueves, 15 de septiembre de 2016 23:14